Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
432<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
431<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
der Lösung von Aufgabenteil b), nur daß zusätzlich jede Instanz ihr eigenes p <strong>und</strong> g wählt <strong>und</strong><br />
veröffentlicht.<br />
Auch wenn Teilnehmer paarspezifisch öffentliche Schlüssel erzeugen, darf natürlich nicht<br />
vergessen werden, daß die öffentlichen Schlüssel authentisch se<strong>in</strong> müssen. Dies kann beispielsweise<br />
durch ihre Zertifizierung, vgl. §3.1.1.2, <strong>und</strong> Prüfung der Zertifikate durch den<br />
Empfänger sichergestellt werden. Kann der Sender digitale Signaturen leisten, die der<br />
Empfänger prüfen kann, so wird es oftmals zweckmäßig se<strong>in</strong>, daß der Sender se<strong>in</strong>e<br />
paarspezifischen öffentlichen Schlüssel selbst zertifiziert, vgl. auch §9.2.<br />
Die Reihenfolge, <strong>in</strong> der exponenziert wird, ist egal.<br />
Als Formel geschrieben:<br />
Für beliebige Elemente g, x, y gilt: (g x ) y = g xy = g yx = (g y ) x .<br />
Bildlich dargestellt:<br />
xy<br />
g<br />
d) DSA (DSS) als Basis:<br />
↑x<br />
↑y<br />
Diffie-Hellman Schlüsselaustausch funktioniert auf dieser Basis tadellos, da alle Werte hierfür<br />
mit passendem Geheimhaltungsgrad vorhanden s<strong>in</strong>d. Je nachdem, ob p <strong>und</strong> g für alle<br />
Teilnehmer gleich s<strong>in</strong>d oder nicht, ist im zweiten Fall gemäß b) zu verfahren. DSA (DSS) stellt<br />
also entgegen den erklärten Zielen auch e<strong>in</strong>e Basis für kryptographische Konzelation, im Falle<br />
p <strong>und</strong> g für alle Teilnehmer gleich sogar für Steganographie mit öffentlichen Schlüsseln dar,<br />
vgl. §4.1.2.<br />
Nicht e<strong>in</strong>fach zu beantworten ist die Frage, ob der so realisierte Diffie-Hellman Schlüsselaustausch<br />
genauso sicher ist wie die Verfahren <strong>in</strong> §3.9.1 bzw. Aufgabenteil b), denn die<br />
Verteilung von g ist subtil anders <strong>und</strong> die Länge von x deutlich anders. Soweit mir bekannt,<br />
kann das Verfahren trotzdem als sicher betrachtet werden.<br />
x y<br />
g g<br />
↑y<br />
↑x<br />
g<br />
b) Anonymität:<br />
Organisatorische Variante: Es ist ke<strong>in</strong>eswegs notwendig, daß den öffentlichen Schlüsseln Personen<br />
erkennbar zugeordnet se<strong>in</strong> müssen. Es kann sich auch um Pseudonyme handeln.<br />
3-24 Bl<strong>in</strong>d geleistete Signaturen mit RSA<br />
Der Text (<strong>in</strong>kl. des Ergebnisses der kollisionsresistenten Hashfunktion, vgl. §3.6.4.2), der bl<strong>in</strong>d<br />
signiert werden soll, sei 2, der Blendungsfaktor 17. Damit ergibt sich aufbauend auf Aufgabe 3-<br />
16 b) als geblendeter Text 2•17t mod 33 = 2•173 = 2•29 mod 33 = 58 mod 33 = 25. (Beim<br />
Ausdenken solch e<strong>in</strong>es Beispiels geht mensch natürlich umgekehrt vor: 25, die zu signierende<br />
Nachricht aus Aufgabe 3-16 b), ist vorgegeben. Also bestimme 2 Zahlen, deren Produkt (mod 33)<br />
25 ergibt. Nach Wahl von 2 <strong>und</strong> 29 muß die 3-te Wurzel von 29 mod 33 bestimmt werden, wozu<br />
der <strong>in</strong>verse Exponent benutzt werden kann: 297 mod 33 = 292•292•292•29 mod 33 = (-4) 2•(- 4) 2•(-4) 2•(-4) mod 33 = 16•16•16•(-4) mod 33 = 256•(-64) mod 33 = 25•2 mod 33 = 17.)<br />
Aus Aufgabe 3-16 b) kann nun der geblendete Text mit Signatur übernommen werden: 25, 31<br />
(denn 313 mod 33 = (-2) 3 mod 33 = -8 mod 33 = 25 mod 33).<br />
Der Empfänger muß nun die zweite Komponente, die bl<strong>in</strong>d geleistete Signatur, durch den<br />
Blendungsfaktor 17 teilen.<br />
Euklidscher Algorithmus zur Bestimmung von 17-1 mod 33:<br />
33 = 1•17 + 16;<br />
17 = 1•16 +1.<br />
Rückwärts:<br />
1 = 17 – 1•16<br />
= 17 – 1•(33 – 1•17)<br />
= 2•17 – 33.<br />
Also ist 17-1 mod 33 = 2.<br />
Als Signatur ergibt sich also:<br />
31•17-1 mod 33 = 31•2 mod 33 = 29.<br />
Nun überprüfen wir die Richtigkeit unserer Rechnung, <strong>in</strong>dem wir nachrechnen, wie der<br />
Empfänger der bl<strong>in</strong>d geleisteten Signatur prüft, ob ihn der Aussteller übers Ohr hauen will:<br />
Signaturt mod 33 = 293 mod 33 = (-4) 3 mod 33 = -64 mod 33 = 2 =?= Text.<br />
Wir stellen (erleichtert) fest, daß dies der Fall <strong>und</strong> unsere Rechnung deshalb höchstwahrsche<strong>in</strong>lich<br />
richtig ist.<br />
Protokollvariante: Statt se<strong>in</strong>en publizierten öffentlichen Schlüssel zu nehmen, bildet der Sender<br />
für jede anonym zu übermittelnde <strong>und</strong> zu verschlüsselnde Nachricht jeweils e<strong>in</strong> neues Schlüsselpaar.<br />
Ausgehend von dem neuen geheimen Schlüssel bestimmt er den geme<strong>in</strong>samen geheimen<br />
Schlüssel mit se<strong>in</strong>em Kommunikationspartner <strong>und</strong> verschlüsselt die Nachricht entsprechend.<br />
Danach sendet er diese verschlüsselte Nachricht zusammen mit dem eigens generierten<br />
neuen öffentlichen Schlüssel145 an se<strong>in</strong>en Partner. Der verwendet diesen zugesandten öffentlichen<br />
Schlüssel zusammen mit se<strong>in</strong>em geheimen zur Berechnung des geme<strong>in</strong>samen geheimen<br />
Schlüssels <strong>und</strong> entschlüsselt damit die Nachricht. (Falls Sie mal den Namen asymmetrische<br />
Verschlüsselung mit dem ElGamal-Konzelationssystem hören: Es ist e<strong>in</strong> Spezialfall des<br />
Beschriebenen. ElGamal verwendet als symmetrische Verschlüsselung im beschriebenen<br />
hybriden Konzelationssystem die modulare Multiplikation [ElGa_85, Schn_96 Seite 478].)<br />
Wenn der Sender e<strong>in</strong>e anonyme Antwortnachricht will? Nichts leichter als das: Der<br />
geme<strong>in</strong>same geheime Schlüssel kann e<strong>in</strong>fach weiterverwendet werden.<br />
Damit s<strong>in</strong>d asymmetrische Konzelationssysteme <strong>und</strong> Diffie-Hellman Schlüsselaustausch auch<br />
bzgl. Anonymität gleichwertig.<br />
c) Individuelle Parameterwahl:<br />
Jeder Teilnehmer wählt für sich se<strong>in</strong> p <strong>und</strong> se<strong>in</strong> g, die er als Teil se<strong>in</strong>es öffentlichen Schlüssels<br />
veröffentlicht.<br />
Jeder kann mit e<strong>in</strong>em anderen Teilnehmer e<strong>in</strong>en geheimen Schlüssel austauschen, <strong>in</strong>dem er<br />
dessen p <strong>und</strong> g nimmt <strong>und</strong> damit wie <strong>in</strong> §3.9.1 beschrieben verfährt. Danach teilt er dem<br />
anderen Teilnehmer se<strong>in</strong>en gerade berechneten, paarspezifischen öffentlichen Schlüssel mit.<br />
Wegen des letzten Schrittes ist diese Modifikation des Diffie-Hellman Schlüsselaustauschs<br />
nicht geeignet für Steganographie mit öffentlichen Schlüsseln, vgl. §4.1.2. Sofern nicht<br />
„Faster key generation“ e<strong>in</strong>gestellt ist, wird diese Modifikation des Diffie-Hellman<br />
Schlüsselaustauschs bei PGP ab Version 5 verwendet. Sie ist praktisch die Protokollvariante<br />
145 Deshalb ist diese Modifikation des Diffie-Hellman Schlüsselaustauschs nicht geeignet für Steganographie mit<br />
öffentlichen Schlüsseln, vgl. §4.1.2.